CompliantDesk

NIS2-Risikomanagementpflicht · Buchstabe a)

Risikoanalyse & Konzepte für Informationssicherheit

NIS2Art. 21 Abs. 2 Buchst. a) NIS2-Richtlinie (in Deutschland §30 BSIG)

NIS2 verlangt ein dokumentiertes Risikomanagement: Sie müssen die Risiken für Ihre Netz- und Informationssysteme systematisch ermitteln, bewerten und mit angemessenen Maßnahmen behandeln. Dazu gehören Konzepte und Richtlinien für die Informationssicherheit.

Warum diese Pflicht wichtig ist

Die Risikoanalyse ist das Fundament aller weiteren NIS2-Pflichten. Ohne sie lässt sich nicht begründen, welche Maßnahmen angemessen sind, und die Geschäftsleitung haftet persönlich für das Risikomanagement.

So setzen Sie die Pflicht um

  1. 1Geltungsbereich und schützenswerte Werte (Assets) festlegen
  2. 2Bedrohungen und Schwachstellen je Asset ermitteln
  3. 3Risiken nach Eintrittswahrscheinlichkeit und Schadenshöhe bewerten
  4. 4Risikobehandlung festlegen (vermeiden, vermindern, übertragen, akzeptieren)
  5. 5Sicherheitsrichtlinien ableiten und durch die Leitung freigeben lassen

Diese Nachweise erwartet die Aufsicht

  • Dokumentiertes Risikoregister mit Bewertung und Behandlung
  • Von der Leitung freigegebene Informationssicherheitsrichtlinie
  • Nachweis regelmäßiger Aktualisierung der Risikoanalyse

Häufige Fehler

Einmalige Analyse

Die Risikoanalyse wird einmal erstellt und nie aktualisiert. NIS2 verlangt einen fortlaufenden Prozess.

Keine Behandlung

Risiken werden erfasst, aber es wird nicht entschieden, was dagegen getan wird.

Passende ISO-27001-Controls

Wer ISO 27001 umsetzt, erfüllt diese NIS2-Pflicht weitgehend mit. Diese Annex-A-Controls decken den Bereich ab:

A.5.1

Informationssicherheitsrichtlinien

A.5.7

Bedrohungsinformationen (Threat Intelligence)

A.5.9

Inventar der Informationen und anderer Werte

Häufig gestellte Fragen

Welche Methode muss ich für die Risikoanalyse nutzen?

NIS2 schreibt keine konkrete Methode vor. Ein an ISO 27005 oder dem BSI-Standard 200-3 orientiertes, nachvollziehbares Vorgehen ist anerkannt.

Wie oft muss die Risikoanalyse wiederholt werden?

Regelmäßig und anlassbezogen, etwa bei wesentlichen Änderungen der IT, neuen Bedrohungen oder nach Vorfällen. Üblich ist mindestens jährlich.

Haftet die Geschäftsführung wirklich persönlich?

Ja. NIS2 verpflichtet die Leitungsorgane, die Risikomanagementmaßnahmen zu billigen und zu überwachen, und sieht bei Verstößen persönliche Verantwortung vor.

Risikoanalyse mit CompliantDesk umsetzen

CompliantDesk deckt diesen Bereich mit folgenden Modulen ab: NIS2-Check · Risiko-Register · Richtlinien. Starten Sie mit dem kostenlosen NIS2-Check.

NIS2-Check gratis Demo buchen

Verwandte NIS2-Pflichten

Buchstabe f)

Wirksamkeitsbewertung

Buchstabe b)

Vorfallbewältigung & Meldepflicht